No presenta mayores vulnerabilidades que las "cagadas" que haga el programador.

Si permites que alguien almacene en un campo, por ejemplo, caracteres tipo (<, >, ") y luego tú haces un "echo" directamente te puedes encontrar con sorpresas.

Si es un campo yo te paso para guardar '<script>document.alert("Eres un paquete como programador")</script>' y tú haces un echo sin filtrar caracteres, te puedes encontrar con una inyección de código directamente en tu código HTML, y un bonito mensaje en tu navegador.

Y lo mismo ocurre si utilizas campos de la base de datos para generar consultas, que te pueden inyectar cláusulas en tus querys.

Realmente esa es mi mayor preocupación, si alguien nos puede ilustrar con algunas más...